Der CLOUD Act – AWS und das US-Justizministerium klären auf

Der CLOUD Act wirft viele Missverständnisse auf. Vor allem Unternehmen, die ihre Daten in der Public Cloud (z.B. AWS) gespeichert haben, fürchten um die Sicherheit dieser. Die US-Regierung hat durch den CLOUD Act jedoch keinesfalls uneingeschränktes Zugriffsrecht – im Gegenteil. AWS räumt nun mit diesen Unklarheiten auf.

Was ist der CLOUD Act und welche Bedeutung hat er für deutsche Unternehmen?

Der am 23. März 2018 verabschiedete CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz und Teil des US-Haushaltsgesetzes. Der CLOUD Act verpflichtet amerikanische IT-Firmen bzw. Unternehmen, die dem US-amerikanischem Recht unterliegen, US-Behörden den Zugriff auf gespeicherte Daten zu gewährleisten, sofern z.B. ein Haftbefehl vorliegt. Dies gilt auch für im Ausland - also nicht in den USA - gespeicherte Daten von US-amerikanischen Firmen. Gleichzeitig sollen durch den CLOUD Act ausländische Behörden unter den gleichen Voraussetzungen Zugriff auf US-Server erhalten. Der CLOUD Act verpflichtet sowohl Internet-Firmen als auch IT-Dienstleister und betrifft alle Cloud-Anbieter mit Sitz in den USA – beispielsweise Microsoft und Amazon sowie deren Kunden - und soll vor allem die Zusammenarbeit zwischen US- und ausländischen Behörden in Bezug auf Strafverfolgung, Gefahrenabwehr und nationaler Sicherheit regeln.

Die US-Regierung erhält durch den CLOUD Act keinen uneingeschränkten Zugang zu gespeicherten Daten in der Cloud. Cloud-Anbieter können nur durch einen von einem unabhängigem US-Richter ausgestellten Haftbefehl zu einer Bereitstellung der Kundendaten gezwungen werden.

Das US-Justizministerium (U.S. Department of Justice) veröffentlichte kürzlich ein Whitepaper (Stand: April 2019) und FAQs, in denen Zweck und Anwendungsbereich des CLOUD Acts erläutert sind und versucht wird, mit einigen Missverständnisse dieses Gesetzes aufzuräumen.

Warum wurde der CLOUD Act verabschiedet?

Grundsätzlich basiert der CLOUD Act auf dem 1986 erlassenen Stored Communications Act (kurz: SCA), welcher den Zugang für US-Behörden auf elektronische Kommunikationsmittel regelte. Mit der digitalen Transformation und dem Aufkommen von Cloud Computing sowie Datenspeicherung im Ausland, musste dieses Gesetz entsprechend angepasst werden und der CLOUD Act wurde verabschiedet. Der CLOUD Act ist entgegen der weitverbreiteten Annahme kein neues Konzept, sondern vielmehr steht er im Einklang mit einem lang bewährten Prinzip der internationalen Zusammenarbeit.

Hintergrund des CLOUD Acts war jedoch vor allem ein Datenstreit zwischen den US-Behörden und Microsoft. Konkret hatte Microsoft sich geweigert, Kundendaten, die in Irland gespeichert waren, zum Zwecke der Strafverfolgung herauszugeben. Ein New Yorker Gericht verurteilte das Unternehmen infolgedessen zur Herausgabe der Daten. Microsoft musste darauf dem Urteil nachkommen, stellte aber nur in den USA gespeicherte Daten zur Verfügung.

Auswirkungen des CLOUD Acts für Kunden und Partner von AWS

In einem im Mai veröffentlichtem Blogbeitrag von Michael Punke (Vice President of Global Public Policy, AWS), nimmt AWS Stellung zum CLOUD Act. Demnach prüft AWS jede Anfrage, die sie von US-Behörden erhalten, eingehend, bevor sie in der AWS-Cloud gespeicherte Daten herausgeben. Ein Team von Juristen überprüft, ob die Gesetze der USA oder des Landes, in dem die Speicherung der Daten verortet ist, eingehalten werden und ob die Rechte des Kunden durch die Offenlegung verletzt werden würden. Der CLOUD Act erkennt an, dass Cloud-Anbieter das Recht haben, gegen Anfragen zur Offenlegung vorzugehen, sofern diese im Widerspruch mit dem Gesetz des jeweiligen Landes oder nationalem Interesse stehen. Falls trotz allem ein Datenstreit zwischen AWS und den US-Behörden nicht beigelegt werden kann, zieht AWS laut eigenen Angaben vor Gericht, um die Privatsphäre und Sicherheit der Daten zu schützen. Darüber hinaus benachrichtigt AWS die betroffenen Kunden im Falle einer Veröffentlichung der Daten vorab. Jedoch hat Amazon, eigenen Aussagen zufolge, bisher nur wenige Anfragen US-amerikanischer Strafverfolgungsbehörden zur Freigabe von gespeicherten Daten erhalten und diese dann transparent offengelegt.

Die wichtigsten Fragen und Antworten zum CLOUD Act

AWS hat für alle Kunden und APN-Partner eine Webseite mit häufig gestellten Fragen, Whitepaper und weiteren Informationen zur Verfügung gestellt: https://aws.amazon.com/de/compliance/cloud-act/

Zur Info: EU-DSGVO und CLOUD Act

Die EU-Datenschutz-Grundverordnung (kurz: EU-DSGVO) regelt in Art. 48 explizit die Herausgabe von Daten an Verwaltungsbehörden oder aufgrund eines gerichtlichen Urteils eines Drittlands. Dementsprechend dürfen Daten nur herausgegeben werden, wenn eine internationale Übereinkunft zwischen dem ersuchenden Drittland und der EU oder einem Mitgliedstaat besteht.